QR code per la pagina originale

Explorer, altro allarme: c’è l’exploit, non la patch

Per la seconda volta nel giro di pochi giorni Internet Explorer è nell'occhio del ciclone per la segnalazione di un exploit in grado di colpire macchine assolutamente vulnerabili a causa di una falla priva di adeguata patch Microsoft.

,

È nuovamente allarme per gli utenti che utilizzano Internet Explorer: un nuovo attacco informatico è infatti in grado di sfruttare, in modo analogo a quanto successo recentemente, una falla del browser per cui Microsoft non ha ancora rilasciato patch.

Che l’allarme non fosse completamente rientrato se ne era già avuta una conferma dalle parole stesse dei responsabili Microsoft, secondo i quali le ricerche dell’untore causa del primo allarme altro non rappresentavano se non un palliativo di breve termine: tutto formalmente confermato dalle ultime rilevazioni del SANS Institute circa la nuova offensiva.

L’attacco consiste nel ladrocinio di password particolarmente delicate grazie al quale è possibile fruire degli account degli utenti di servizi di banking online. Il tutto avviene tramite una pop-up in grado di installare sulla macchina vittima un software camuffato da immagine. Il software è un doppio pacchetto compresso tramite UPX in grado di installare il necessario per lanciare l’attacco. Quest’ultimo consiste nell’identificazione dei dati inviati a particolari siti (password inviati a servizi di banking online) ed al recupero su un server remoto che fa da banca dati. Il pericolo è insito nel fatto che i dati vengono recuperati prima che il protocollo SSL operi la normale crittografia precedente l’invio.

Nella fattispecie il problema emerso consiste in un BHO (Browser Helper Objects) maligno. I BHO sono piccole DLL che si avviano con il browser ma che, in casi come quello identificato ora, possono costituire un pericolo fattivo per il sistema che fa girare il browser. Il codice che la popup carica sulla macchina vittima è dunque in grado di attivare l’attacco e solo tramite appositi programmi esterni quali BhoDemon è possibile operare una scelta su cosa lanciare assieme al browser e cosa invece inibire.

A quanto pare il trojan sarebbe in grado di identificare 50 siti del settore finanziario ai cui utenti viene così operato il tentativo truffaldino. Ancora una volta le soluzioni applicabili sono solo due: disattivare le Active X o, onde evitare ulteriori problemi, non utilizzare Internet Explorer (per il quale Microsoft dichiara di star lavorando sodo al fine di mettere al sicuro gli utenti da questi exploit, tanto limitati quanto estremamente pericolosi).